Хочу на hEX S поднять VPN сервер с IPsec шифрованием , чтоб использовать его при подключениях к wi-fi в общественных местах: аэропортах, кафе и прочих мест где есть free wifi, ну и коли есть такая функция аппаратного шифрования у этого маршрутизатора то почему бы её не использовать.
Сам VPN сервер L2TP\ipsec я настроил, вопрос встал с настройками самого ipsec.
В ROS 6.44 меню ip-ipsec другое и ни одна инструкция найденная в инете не подходит. Хотел бы узнать какое шифрование выбирать и в каком месте выставлять это.
Интернет в сеть VPN завернул через NAT scrnat masquerade - правильно?
В фаервол добавил правила:
add action=accept chain=input dst-port=1701 protocol=udp - на этом порту, даже при отключённом VPN подключении идёт активность, хм.. почем?
add action=accept chain=input dst-port=4500,500 protocol=udp - здесь, как только подключаюсь, то начинают идти пакеты.
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec - здесь тишина, может потому что ipsec работает неправильно или активна функция fasttrack
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
В общем, вот.. если что-то описал кривым, не профессиональным языком простите) научусь , исправлюсь.
Домашний VPN сервер с IPsec шифрованием
-
- Сообщения: 18
- Зарегистрирован: 06 мар 2019, 08:04
В данный момент: RB4011 + cAP ac
В прошлом: RB951G-2HnD, hEX S
В прошлом: RB951G-2HnD, hEX S
-
- Сообщения: 176
- Зарегистрирован: 27 фев 2016, 17:12
Правила нужно помещать над fasttrack
add action=accept chain=input dst-port=500,1701,4500 in-interface=pppoe-out1 protocol=udp
add action=accept chain=input in-interface=pppoe-out1 protocol=ipsec-esp
add action=fasttrack-connection chain=forward connection-state=established,related
Вот мой конфиг на 6.44
ip ipsec export
/ip ipsec profile
set [ find default=yes ] dh-group=modp1024 enc-algorithm=aes-256,aes-128,3des
interface l2tp-server export
/interface l2tp-server server
set allow-fast-path=yes authentication=mschap2 default-profile=L2TP enabled=yes ipsec-secret=КЛЮЧ keepalive-timeout=60 max-mru=1350 max-mtu=1350 one-session-per-host=yes use-ipsec=required
add action=accept chain=input dst-port=500,1701,4500 in-interface=pppoe-out1 protocol=udp
add action=accept chain=input in-interface=pppoe-out1 protocol=ipsec-esp
add action=fasttrack-connection chain=forward connection-state=established,related
Вот мой конфиг на 6.44
ip ipsec export
/ip ipsec profile
set [ find default=yes ] dh-group=modp1024 enc-algorithm=aes-256,aes-128,3des
interface l2tp-server export
/interface l2tp-server server
set allow-fast-path=yes authentication=mschap2 default-profile=L2TP enabled=yes ipsec-secret=КЛЮЧ keepalive-timeout=60 max-mru=1350 max-mtu=1350 one-session-per-host=yes use-ipsec=required
Обладатель Mikrotik RB2011UAS-2HnD-IN
-
- Сообщения: 18
- Зарегистрирован: 06 мар 2019, 08:04
Интерфейса как такого у меня нет, т.к. созадаётся только во время подключения клиента.
Параметры IpSec у меня такие же. вопрос в том что: правильно ли ставить enc-algorithm=aes-256,aes-128,3des или можно оставить какой-нибудь один. aes-128 например.
Параметры IpSec у меня такие же. вопрос в том что: правильно ли ставить enc-algorithm=aes-256,aes-128,3des или можно оставить какой-нибудь один. aes-128 например.
В данный момент: RB4011 + cAP ac
В прошлом: RB951G-2HnD, hEX S
В прошлом: RB951G-2HnD, hEX S
-
- Сообщения: 176
- Зарегистрирован: 27 фев 2016, 17:12
Можно и так.
Обладатель Mikrotik RB2011UAS-2HnD-IN